安全通告
VMware产品多个漏洞安全风险通告
发布日期:2021-10-14
漏洞描述
2021年10月14日,监测到VMware官方发布安全补丁的通告,共修复了3个安全漏洞。
| 序号 | 漏洞名 | 漏洞编号 | 严重等级 | 影响版本 |
| 1 | VMware vRealize Operations SSRF漏洞 | CVE-2021-22033 | 低危 | 8.0 <= VMware vRealize Operations < 8.6 、VMware vRealize Operations 7.X
VMware Cloud Foundation (vROps) 4.X、3.X vRealize Suite Lifecycle Manager (vROps) 8.X |
| 2 | VMware vRealize Log Insight CSV注入漏洞 | CVE-2021-22035 | 中危 | VMware vRealize Log Insight 8.4.1、8.4.0
VMware vRealize Log Insight 8.3 VMware vRealize Log Insight 8.2 VMware vRealize Log Insight 8.1.1、8.1.0、8.0.0、4.X VMware Cloud Foundation (vRLI) 4.X vRealize Suite Lifecycle Manager (vRLI) 8.X |
| 3 | VMware vRealize Orchestrator重定向漏洞 | CVE-2021-22036 | 中危 | 8.0 <= VMware vRealize Orchestrator < 8.6 |
组件介绍
VMware vRealize Operations是一个面向私有云、混合云和多云环境的IT 运维管理平台,整合了 AI和预测性分析。
VMware vRealize Log Insight则是为任何环境下的基础设施和应用程序提供智能的日志管理。
VMware vRealize Orchestrator是一个现代工作流自动化平台,它简化和自动化复杂的数据中心基础设施任务,以提高扩展性和灵活性。
漏洞危害
攻击者可利用这些漏洞在未授权的情况下,构造恶意攻击。
修复方案
1、针对VMware vRealize Operations SSRF漏洞 CVE-2021-22033,当前官方发布的最新版本已经修复此漏洞,建议受影响的用户及时更新官方的最新版本,链接如下:
https://customerconnect.vmware.com/downloads/details?downloadGroup=VROPS-860&productId=1032
2、针对VMware vRealize Log Insight CSV注入漏洞CVE-2021-22035 ,当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:
https://customerconnect.vmware.com/patch/
3、针对VMware vRealize Orchestrator重定向漏洞 CVE-2021-22036,当前官方发布的最新版本已经修复此漏洞,建议受影响的用户及时更新官方的最新版本,链接如下:
https://customerconnect.vmware.com/downloads/details?downloadGroup=VROVA-860&productId=1206
参考链接
- https://www.vmware.com/security/advisories/VMSA-2021-0021.html
- https://www.vmware.com/security/advisories/VMSA-2021-0022.html
- https://www.vmware.com/security/advisories/VMSA-2021-0023.html